Demande #1752
closedImplémenter HTTP Strict Transport Security sur april.org
Description
Voir : https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
D'abord, réfléchir aux implications : quel contenu ne doit pas être servi en HTTPS ?
Commencer par tester un max-age bas pour éviter les problèmes.
Updated by François Poulain about 8 years ago
Perso ça me semble dangereux si les applications ne sont pas conçues pour. Amha le choix du HSTS doit autant sinon plus relever du concepteur de l'application car c'est lui le seul qui est capable d'attester que c'est conçu pour fonctionner avec.
Par ex. Médiawiki chie ici : #1350 Le site ne serait il pas HS avec HSTS ?
Updated by Christian P. Momon about 8 years ago
Je suis à fond pour le HTTPS-Only Standard qui prône de n'utiliser que du HTTPS pour toutes les pages de tous les sites.
Voir : https://https.cio.gov/
Si un produit bug avec ça, est-ce un bon produit ? Quoiqu'il en soit, le cas par car semble inévitable et même souhaitable.
Question : plutôt que de faire HTTP STS, pourquoi ne pas faire une redirection du flux 80 vers 443 (redirect 301 ou 308) alors à quoi sert HTTP STS ?
Pour information, le redirect est super simple :
https://httpd.apache.org/docs/current/mod/mod_alias.html#redirect
<VirtualHost *:80> ServerName xxxx ou ServierAlias * ou autre Redirect / https://kiwa.devinsy.fr/ </VirtualHost>
Updated by François Poulain about 8 years ago
Hum, pour info, tu peux translater toute l'url, pas ne renvoyer qu'à la racine.
Updated by Christian P. Momon almost 8 years ago
François Poulain a écrit :
Hum, pour info, tu peux translater toute l'url, pas ne renvoyer qu'à la racine.
Me semble que l'instruction ci-dessus s'occupe de bien reprendre la partie droite de l'URL :)
Updated by Christian P. Momon almost 8 years ago
Aeris souffle sur IRC que le HSTS est mieux que la simple redirection car réduit le risque de mitm.
Ça laisse une possibilité de mitm mais il faut reconnaître que ça la réduit.
Même couper le port 80 laisse une possibilité de mitm.
Possibilité de pré-charger le site en mode HTST : https://hstspreload.org/ . Dans ce cas le mitm semble impossible. Mais bon, ça fait dépendre d'un fichier dont on ne sait pas grand chose de la gestion…
Updated by François Poulain almost 8 years ago
Me semble que l'instruction ci-dessus s'occupe de bien reprendre la partie droite de l'URL :)
Anéfé. La magie apache... ;)
Updated by Edouard Dausque almost 8 years ago
Benjamin Drieu a écrit :
Commencer par tester un max-age bas pour éviter les problèmes.
Et commencer par ne pas mettre la directive includeSubDomains
https://tools.ietf.org/html/rfc6797#section-6.1.2
Updated by François Poulain almost 8 years ago
Perso je pense que c'est une erreur tant que ce sera le drupal actuel aux manettes. Cf bug #1686.
Updated by Frédéric Couchet almost 7 years ago
- Target version changed from Sprint Juin 2016 to Backlog
Updated by Benjamin Drieu over 6 years ago
- Status changed from Nouveau to Résolu
- % Done changed from 0 to 100
HSTS a été implémenté sur april.org via NGINX. Le fichier /etc/nginx/hsts.conf
doit être inclus par tout virtualhost qui désire forcer l'HSTS.
Par exemple:
server { listen 443; ssl on; server_name www.april.org april.org dev.april.org; [...] include /etc/nginx/hsts.conf; [...] }
Pour faciliter la tâche, le fichier /etc/nginx/force-ssl.conf
force un site en HTTP à passer en HTTPS et doit être inclus dans la version pur HTTP du virtualhost.
Updated by Benjamin Drieu over 6 years ago
- Has duplicate Demande #1857: Cas du formulaire de login de la page http://www.april.org added
Updated by Benjamin Drieu over 6 years ago
- Related to Anomalie #1686: Problèmes SSL TLS sur www.april.org added
Updated by Quentin Gibeaux over 5 years ago
- Status changed from Résolu to Fermé
Updated by Christian P. Momon almost 4 years ago
- Assignee set to Benjamin Drieu